试析VPN网络技术及应用
2011-12-30涛李魏金婷贺亚美
王 涛李 哲 魏金婷 贺亚美
(1、中国联合网络通信有限公司廊坊市分公司,河北 廊坊 065000;2、中国联合网络通信有限公司邢台市分公司,河北 邢台 054000;3、中国人民解放军第六九一六工厂,河北 廊坊 065000)
计算机网络技术提升使企业内部职能部门,企业外部的供应商、分支机构和外出人员等等,需要同企业总部之间建立快速、安全、稳定的网络通信环境。怎样实现这个网络通信环境,成为时下很多企业在信息网络化建设方面亟待解决的问题。文章就此阐述了基于VPN网络的技术及其应用。
1.VPN网络技术概述
1.1VPN网络技术定义。VPN的全称是Virtual Private Network,现在我们一般称为虚拟专用网络。它的主要作用就是利用公用网络将多个私有网络或网络节点连接起来。通过这个公用网络进行连接可以大大降低通信的成本。
目前,一般来说两台连接上互联网的计算机只要知道对方的IP地址,是可以直接通信的。不过位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络和公用网络使用了不同的地址空间或协议。
1.2 VPN网络技术工作原理。VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
1.3VPN网络技术特点
1.31 特点一:成本低。VPN在设备的使用量及广域网络的频宽使用上,都比专线式的架构节省,所以它能使网络的总成本降低。根据笔者的分析,在 LAN-to-LAN连接时,用 VPN较使用专线的成本节省大约在 30%~50% 左右;而就远程访问而言,用 VPN更能比直接拨入到企业内部网络节省60%~80% 的成本。
1.32 特点二:管理方便。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;不论连接的是什么用户,均需通过VPN隧道的路径进入内部网络。
1.33 特点三:网络架构弹性大。VPN较专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时,VPN可以轻易的达到目的,VPN(特别是硬件VPN)的平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的 VPN架构中。
1.34 特点四:技术安全性高。VPN网络技术主要由三部分组成:隧道技术,数据加密、用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题。目前,在我国VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
2.VPN网络技术应用
VPN网络技术可以给企业提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。这项技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
2.1VPN网络技术企业内部应用。目前,用于企业内部自建VPN的主要有两种技术--IP Sec VPN和SSL VPN,IPSecVPN和 SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上,但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。
针对IPSec VPN和SSL VPN两种技术,目前业内存在着较多争议。在未来,IPSec的市场份额将下降,而SSL VPN将逐渐上升。用户在考虑采用哪种技术时经常会遇到两难的选择,即安全性与使用便利的冲突。IPSec VPN比较适合中小企业,其拥有较多的分支机构,并通过VPN隧道进行站点之间的连接,交换大容量的数据。企业的数据比较敏感,要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业内部信息,移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。
2.2VPN广域网解决方案的应用。目前各行业网、专用网的应用主要有两个方面:一方面作为Internet或其他公用网络的一部分,组织本行业是信息资源上网;二方面作为一个内部网,为本行业、本系统的内部办公自动化和业务处理系统服务。两者都是采用Internet或其他公用网络技术的IP数据通信。对于各专用网络两种应用的第一种应用,其解决方案可以根据网络的性质和信息资源的服务对象,各地就近接入当地的中国公用计算机互联网或中国公众多媒体通信网,完全省去了用于连接跨省的DDN专线,只需在域名规划和信息主页设计中统一规划,统一形象,把有限的人力和物力用于专业的信息资源开发和深加工。
2.3 基于Internet的VPN网络的应用。在互联网技术高速发展的今天, Internet环境下的VPN网络架构 Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。
3.VPN网络技术发展
VPN综合了传统数据网络的安全和服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道。VPN在降低成本的同时满足了用户对网络带宽、接入和服务不断增加的需求。
VPN上传输的数据流是经过加密处理的,这条安全通道的协议必须保证数据的真实性、数据的完整性、通道的机密性,提供动态密匙交换功能,提供安全防护措施和访问控制,抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
用户需求将成为VPN技术发展的动力,多形式、多用途、灵活易用、功能强大、服务优异的VPN产品将适用于不同的用户群,部署在宽带、窄带、拨号或者移动通信网络上。
4.对VPN网络技术使用中的建议
在目前的企业选择VPN技术使用时,我们一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中便于管理人员和应用程序对信息进行添加,修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库,存储每一名用户的信息,包括用户名,口令,以及拨号接入的属性等。
为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志,报告和数据存储设备。随着市场应用的扩大,VPN的管理有待进一步加强。
[1]闫晓弟.耶健.基于VPN的电子资源远程访问系统的研究与实现.情报杂志,2009(8).
[2]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[3]杨永斌.VPN技术应用研究[J].计算机科学,2004,(10).
[4]王达等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.